信息化觀察網(wǎng)

網(wǎng)絡(luò)安全概念的變化反映出安全的覆蓋面在不斷擴(kuò)大，不同領(lǐng)域背景的人，對(duì)網(wǎng)絡(luò)安全概念的認(rèn)識(shí)也不盡相同，并在其中出現(xiàn)一些理解上的混亂。比如信息安全，政府人員就容易認(rèn)為是指信息保密。通信領(lǐng)域的人員就認(rèn)為是不良信息、垃圾郵件。IT 人員會(huì)認(rèn)為是信息系統(tǒng)安全。還有一種混亂情況是范圍的界定。比如，有人認(rèn)為電磁防泄露不屬于網(wǎng)絡(luò)安全。再比如，利用電話或網(wǎng)絡(luò)社交工具進(jìn)行的詐騙、勒索也不屬于網(wǎng)絡(luò)安全。還有，對(duì)人為物理破壞或自然災(zāi)害的防范也不屬于網(wǎng)絡(luò)安全。本部分內(nèi)容試圖給出網(wǎng)絡(luò)安全的概況性定義、本質(zhì)和一些相關(guān)特性，當(dāng)然這只是一家之言，謹(jǐn)供業(yè)內(nèi)人士思考與討論。

網(wǎng)絡(luò)安全的核心概念：網(wǎng)絡(luò)與對(duì)抗

從網(wǎng)絡(luò)安全概念的演化可以看出， “網(wǎng)絡(luò)與信息系統(tǒng)” 和 “攻防對(duì)抗” 是網(wǎng)絡(luò)安全最為核心的兩個(gè)關(guān)鍵詞。其中，網(wǎng)絡(luò)與信息系統(tǒng)即是攻防對(duì)抗的目標(biāo)也是手段。因此，網(wǎng)絡(luò)安全的本質(zhì)或概念可以簡(jiǎn)單概括成一句話：基于或面向網(wǎng)絡(luò)與信息系統(tǒng)展開(kāi)的對(duì)抗過(guò)程。“基于” 是指把網(wǎng)絡(luò)與信息系統(tǒng)當(dāng)作工具或手段，“面向” 則是指攻防的目標(biāo)對(duì)象就是網(wǎng)絡(luò)與信息系統(tǒng)。由于網(wǎng)絡(luò)的無(wú)處不在，攻防雙方的目標(biāo)可能為陸、海、空、天等空間中的任意對(duì)象，不僅僅是由電子設(shè)備、通信網(wǎng)絡(luò)及應(yīng)用程序、文檔數(shù)據(jù)等構(gòu)成的網(wǎng)絡(luò)與信息系統(tǒng)本身，還包括與之相關(guān)聯(lián)的實(shí)體設(shè)施，甚至是輿論思想和人身安全。這也正是網(wǎng)絡(luò)空間安全概念提出的真正意義所在。

網(wǎng)絡(luò)安全的層級(jí)外延：事件、威脅與風(fēng)險(xiǎn)

網(wǎng)絡(luò)安全概念的解釋?zhuān)瑥墓サ慕嵌?，電子設(shè)備的破解、通信協(xié)議的劫持、信息數(shù)據(jù)的盜竊，從防的角度，為防止數(shù)據(jù)的無(wú)意丟失和泄露采用的數(shù)據(jù)加密，維護(hù)網(wǎng)絡(luò)與信息系統(tǒng)的穩(wěn)定運(yùn)行，甚至是為了防止人為破壞或自然災(zāi)害所采用的系統(tǒng)備份、網(wǎng)絡(luò)保險(xiǎn)等手段，均屬于網(wǎng)絡(luò)安全的范疇。但在現(xiàn)實(shí)中，對(duì)抗性質(zhì)不明顯的防范或保護(hù)，往往被列入相關(guān)技術(shù)范疇，比如保障系統(tǒng)穩(wěn)定運(yùn)行，歸為網(wǎng)絡(luò)運(yùn)維，數(shù)據(jù)備份則歸到存儲(chǔ)。

圍繞網(wǎng)絡(luò)安全，有三個(gè)詞最為常用：事件、威脅與風(fēng)險(xiǎn)，后兩個(gè)詞還經(jīng)常被很多人混用。但實(shí)際上，這三個(gè)詞之間有著遞進(jìn)擴(kuò)展的關(guān)系。“事件” 最為直接，它的內(nèi)含在于對(duì)抗，發(fā)生安全事件時(shí)，所做的應(yīng)急、響應(yīng)、處置等第一時(shí)間的行為。“威脅” 的內(nèi)含是預(yù)防，在威脅變成事件之前的保護(hù)。比如，系統(tǒng)存在漏洞但還沒(méi)有被利用，就是典型的威脅，需要更新系統(tǒng)打補(bǔ)丁。“風(fēng)險(xiǎn)” 的內(nèi)含是控制，因?yàn)轱L(fēng)險(xiǎn)是不可避免的，而資源是有限的，所以要將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。比如業(yè)務(wù)連續(xù)性，災(zāi)難備份等。“事件” 最為直接，發(fā)生了事情必須解決。“威脅” 是未發(fā)生或未發(fā)現(xiàn)的事情，用戶(hù)的感受雖然不那么直接，但威脅防御也有對(duì)抗的性質(zhì)，只不過(guò)是對(duì)抗過(guò)程的延伸。“風(fēng)險(xiǎn)” 的概念最為廣義，對(duì)抗的內(nèi)含也最為泛化（如與自然災(zāi)害的對(duì)抗），而且理論上投入多少資源都無(wú)法杜絕風(fēng)險(xiǎn)。因此，用戶(hù)在風(fēng)險(xiǎn)上的投入也最不敏感。

網(wǎng)絡(luò)安全的技術(shù)特性：伴生

網(wǎng)絡(luò)安全技術(shù)是隨著信息技術(shù)的出現(xiàn)而出現(xiàn)的伴生性技術(shù)。由于網(wǎng)絡(luò)與信息系統(tǒng)的環(huán)境、場(chǎng)景、對(duì)象、技術(shù)、產(chǎn)品的復(fù)雜性和多樣性，網(wǎng)絡(luò)安全需求不可避免的呈現(xiàn)出行業(yè)化、場(chǎng)景化、碎片化、規(guī)模小等特征。舉個(gè)例子，居住是生活的基礎(chǔ)性需求，裝修則是伴生性需求。一個(gè)現(xiàn)代化企業(yè)的信息系統(tǒng)是必需的，但保護(hù)信息系統(tǒng)的安全就是伴生需求。但在某些極端情況下，如業(yè)務(wù)信息系統(tǒng)是企業(yè)的命脈時(shí)，對(duì)安全的伴生需求就會(huì)成為剛需。比如，完全依賴(lài)線上銷(xiāo)售的電子商務(wù)，抗 DDoS 就是必要需求。以知識(shí)產(chǎn)權(quán)為核心競(jìng)爭(zhēng)力的科技公司，重要資料的保護(hù)就是必要需求。

網(wǎng)絡(luò)安全的行業(yè)特性：服務(wù)

業(yè)內(nèi)有很多人在談到 to B 業(yè)務(wù)難以做大的話題時(shí)，往往會(huì)強(qiáng)調(diào) to B 與 to C（面向企業(yè)還是面向消費(fèi)者）的區(qū)別。但我認(rèn)為，與其強(qiáng)調(diào) BC 的區(qū)別，不如強(qiáng)調(diào)服務(wù)與標(biāo)準(zhǔn)化產(chǎn)品的區(qū)別。因?yàn)榍罢咧皇潜憩F(xiàn)形式上的區(qū)別，后者則是本質(zhì)上的區(qū)別。我們知道，B 與 C 的區(qū)別在業(yè)務(wù)流程、銷(xiāo)售環(huán)節(jié)、產(chǎn)品迭代、運(yùn)營(yíng)手法上有著很大差異，但實(shí)際上，to C 業(yè)務(wù)一點(diǎn)也不比 to B 業(yè)務(wù)簡(jiǎn)單。雖然后者的環(huán)節(jié)較多，比如需要有售前的崗位、不斷的打磨產(chǎn)品、長(zhǎng)期的建立客戶(hù)關(guān)系等，可 to C 產(chǎn)品一樣會(huì)有復(fù)雜的銷(xiāo)售鏈條、渠道代理、品牌營(yíng)銷(xiāo)、區(qū)域特色、地方保護(hù)、門(mén)店連鎖等等，一點(diǎn)不比 to B 業(yè)務(wù)好做，而且 “死亡” 概率要比 to B 高得多。再反觀國(guó)外，IBM、微軟、甲骨文、Adobe、AWS 這些做企業(yè)服務(wù)的公司照樣可以做的很大。所以，影響規(guī)模大小的不是 BC 的區(qū)別，而是服務(wù)與標(biāo)準(zhǔn)化產(chǎn)品的區(qū)別。前者天生就是碎片化1 的，后者則容易形成巨頭。

［1］ 平臺(tái)性質(zhì)的服務(wù)除外。如社交、共享、電商、云計(jì)算等。

網(wǎng)絡(luò)安全屬于服務(wù)性質(zhì)的行業(yè)，類(lèi)似的如餐飲、銀行、保安、醫(yī)療等行業(yè)，除了快餐連鎖、突破性藥品這樣的標(biāo)準(zhǔn)化產(chǎn)品，沒(méi)有哪家以提供服務(wù)為主的行業(yè)能形成巨頭。同樣，網(wǎng)絡(luò)安全公司，除了防火墻、個(gè)人安全軟件這種偏標(biāo)準(zhǔn)化且能夠普及的產(chǎn)品，沒(méi)有任何一個(gè)細(xì)分領(lǐng)域能達(dá)到較大規(guī)模。

與網(wǎng)絡(luò)安全行業(yè)最為相似的一個(gè)行業(yè)就是醫(yī)療衛(wèi)生。醫(yī)院無(wú)法包治百病，安全也做不到百分之百。醫(yī)院非常依賴(lài)經(jīng)驗(yàn)積累，最有價(jià)值的是醫(yī)生，安全也一樣，最值錢(qián)的是高級(jí)安全專(zhuān)家。而且醫(yī)療行業(yè)是非常碎片化的，世界上沒(méi)有一家醫(yī)療機(jī)構(gòu)能夠做到類(lèi)似于社交、電商、搜索、手機(jī)、芯片、操作系統(tǒng)、應(yīng)用軟件等領(lǐng)域具備統(tǒng)治力的企業(yè)巨頭。據(jù)安全牛統(tǒng)計(jì)，全世界所有安全業(yè)務(wù)年收入超過(guò)十億美元的企業(yè)（約 17 家左右），全部加起來(lái)也只占到全球網(wǎng)絡(luò)安全收入的 30%，其余 70% 的收入來(lái)自數(shù)量繁多的中小微企業(yè)。有一個(gè)數(shù)據(jù)可能會(huì)讓業(yè)內(nèi)人士感到意外，網(wǎng)絡(luò)安全行業(yè)最大的細(xì)分領(lǐng)域不是防火墻，而是安全咨詢(xún)服務(wù)，收入規(guī)模是防火墻的兩倍（約 200 億美元2）。而且在 17 家安全業(yè)務(wù)達(dá)到年收入 10 億美元以上的企業(yè)中，有五家是咨詢(xún)公司，從數(shù)字的角度佐證了網(wǎng)絡(luò)安全是一個(gè)不折不扣的服務(wù)性行業(yè)。

［2］ 以 2018 年千億美元的全球市場(chǎng)規(guī)模計(jì)算，防火墻超過(guò) 100 億，個(gè)人安全軟件 50 億，SIEM 25 億，其他產(chǎn)品最多的也就 10 億左右，而且高度定制化。

超大型企業(yè)會(huì)自己建醫(yī)院，同樣也會(huì)成立自己的安全公司。大型綜合醫(yī)院對(duì)應(yīng)全產(chǎn)品線廠商，專(zhuān)科醫(yī)院對(duì)應(yīng)技術(shù)細(xì)分廠商，細(xì)菌病毒對(duì)應(yīng)惡意代碼，疑難雜癥對(duì)應(yīng) APT（高級(jí)持續(xù)性威脅），手術(shù)急診對(duì)應(yīng)安全部署或事件響應(yīng)，醫(yī)生處方對(duì)應(yīng)解決方案，醫(yī)療顧問(wèn)對(duì)應(yīng)安全咨詢(xún)，定期體檢對(duì)應(yīng)掃描監(jiān)測(cè)，日常保養(yǎng)對(duì)應(yīng)安全運(yùn)維，醫(yī)藥器械生產(chǎn)商對(duì)應(yīng)安全軟硬件廠商……

伴生需求也就意味著可要可不要，再加上應(yīng)用場(chǎng)景和行業(yè)的復(fù)雜化，以及網(wǎng)絡(luò)安全行業(yè)的服務(wù)特性，因此規(guī)模小是必然的。但這種狀況在未來(lái)會(huì)發(fā)生根本性的轉(zhuǎn)變，為什么這么說(shuō)呢？或者說(shuō)網(wǎng)絡(luò)安全的未來(lái)會(huì)怎樣呢？